Droit du numérique : les adresses IP sont maintenant des données à caractère personnel

Article publié le 1er décembre 2016

 

Le 03 novembre 2016, la première chambre civile de la Cour de cassation a eu l’occasion de se prononcer sur le droit du numérique, en reconnaissant que les adresses IP sont des données à caractère personnel.

            En l’espèce, des sociétés appartenant au même groupe ont constaté des connexions d’ordinateurs extérieurs au groupe sur leur réseau informatique interne. Les ordinateurs extérieurs utilisaient les codes d’accès des administrateurs du site. Une ordonnance du juge des requêtes, faisant injonction à divers fournisseurs d’accès à internet de leur communiquer les identités des titulaires d’adresses IP litigieuse, a été obtenue.

            Néanmoins, une société concurrente a saisi le président du tribunal de commerce en rétractation de l’ordonnance, en invoquant le fait que la conservation de telles données devait faire l’objet d’une déclaration auprès de la CNIL, et que la mesure sollicitée était donc illicite.

            La cour d’appel de Rennes, par un arrêt du 28 avril 2015, rejette la demande de rétractation formée par la société concurrente. En effet, les juges du fond retiennent qu’une adresse IP est constituée d’une série de chiffres se rapportant non-pas à un utilisateur mais à un ordinateur et qu’ainsi, cette donnée ne constituait pas une donnée même indirectement nominative. Le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter sans autorisation sur le réseau information de l’entreprise, ne constituait pas un traitement de données à caractère personnel. En conséquence la demande de déclaration auprès de la CNIL n’avait pas lieu d’être.

            La question qui se posait dans cette affaire était de savoir si les adresses IP étaient des données à caractère personnel.

Il est important de rappeler que la notion de données personnelles est définie à l’article 2 de la loi du 6 janvier 1978 dite informatique et liberté modifiée par la loi du 6 août 2004. Il s’agit de « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

            La CNIL, la définit également comme étant « toute information identifiant directement ou indirectement une personne physique ». La CNIL rajoutait dans une de ses délibérations du 3 mai 2001 n°01-018 que l’adresse IP « permet d’identifier tout ordinateur connecté au réseau (et donc la personne physique titulaire de la ligne) et ses heures de connexions » et doit, en conséquence, être considérée comme une donnée à caractère personnel.

           Le 03 novembre 2016, la première chambre civile casse et annule l’arrêt des juges du fond pour violation des articles 2 et 22 de la loi n°78-17 du 6 janvier 1978 relative à l’information, aux fichiers et aux libertés.

            Les juges de la première chambre civile observent en effet que les adresses IP étant des données permettant d’identifier indirectement une personne physique, sont dès lors des données à caractère personnel. Ainsi, leur collecte constitue un traitement de données à caractère personnel et doit donc faire l’objet d’une déclaration préalable auprès de la CNIL.

            La décision des juges du fond était pourtant conforme à la jurisprudence en la matière et donc peu étonnante. En effet, elle allait dans le même sens qu’un arrêt de la 13e chambre correctionnelle de la cour d’appel de Paris du 15 mai 2007, qui retenait que l’adresse IP « ne constituait en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine et non à l’individu qui utilise la machine ».

            Cette solution n’était cependant pas en accord avec la position de la CJUE, laquelle observait qu’une adresse IP est une donnée à caractère personnel (notamment dans un autre arrêt très récent de la troisième chambre du 24 novembre 2011 et de la deuxième chambre du 19 octobre 2016).

            La Cour de cassation semble donc, par cette décision, revenir sur la jurisprudence en la matière.

            En conclusion, si l’adresse IP est considérée comme une donnée personnelle cela implique qu’elle bénéficie des dispositions protectrices prévues pour protéger les personnes physiques et que les sanctions prévues notamment par l’article L.226-16 du Code pénal lui soient applicables. Il faudra donc recourir à la CNIL pour obtenir les adresses IP dans ce genre de situation.

            Le règlement du 27 avril 2016 du Parlement Européen et du Conseil, dont l’entrée en vigueur est prévue en 2018, semble aller dans le sens d’une harmonisation de la législation pour les Etats membres, ce qui est souhaitable.

Jordy SASSUS-BOURDA

Sources :

Arrêt de la 1ère chambre civile de la Cour de cassation 03 novembre 2016 n°15-22.595.

Loi n°78-17 du 6 janvier 1978 modifiée par la loi n°2004-801 du 6 août 2004.

Arrêt de la troisième chambre CJUE du 24 novembre 2011 Scarlet Extended SA contre Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM) ECLI:EU:C:2011:771.

Arrêt de la deuxième chambre CJUE du 19 octobre 2016 Patrick Breyer contre Bundesrepublik Deutschland ECLI:EU:C:2016:779.

Arrêt de la Cour d’appel de Paris 13ème chambre, section A-15 mai 2007.

Délibération de la CNIL n°01-018 du 03 mai 2001.

Règlement du 27 avril 2016 du Parlement Européen et du Conseil.

Zahra Redba,  « L’adresse IP est-elle une donnée à caractère personnel ? ». 24 septembre 2015-Village De la Justice.

Thierry Vallat, avocat au barreau de Paris « Pour l’avocat général de la CJUE, l’adresse IP dynamique est une donnée personnelle ». 14 mai 2016-Overblog.

 

 

 

 
  • 1 vote. Moyenne 5 sur 5.

Commentaires

  • Tual
    • 1. Tual Le 06/01/2017
    Très bon article permettant de faire un état de la jurisprudence française et européenne en matière de qualification de l'adresse IP en tant que données à caractère personnel
    .

Ajouter un commentaire